• Tweet

Investigador advierte que el popular sitio de videos tiene vulnerabilidades cross-site scripting "Contáctenme o lo haré publico".

YouTube, el sitio Web para compartir videos esta llenándose de vulnerabilidades de seguridad de acuerdo con un investigador de seguridad independiente.

En una carta pública a Google, el propietario de YouTube, Christian Matthies dijo que publicaría mas de 40 fallas que dice haber encontrado en el sitio.

La mayoría de las fallas se refieren a fallas de cross-site scripting que podrían permitir a los intrusos inyectar código malicioso en sitios Web legítimos para robar información personal de los visitantes del sitio. La mayoría de los exploits permiten a los intrusos infectar los perfiles de usuario con malware que podría propagarse a través de Internet y robar detalles de acceso de los usuarios.

"Tal como los otros importantes sitios de redes sociales (o aún mas), YouTube es responsable por la privacidad y seguridad de cientos de millones de usuarios", dijo Matthies.

"Sin embargo, actualmente esta seguridad no es proporcionada en este momento debido a un incremento constante de la cantidad de vulnerabilidades severas en YouTube que vienen con cada actualización del sitio".

"Tener huecos de seguridad es una cosa pero no responder a los reportes de vulnerabilidad es totalmente inaceptable y ciertamente no va de acuerdo con su compromiso de resguardar la información", dijo. "Tomando eso en cuenta tengo que darles una última oportunidad y darles dos semanas desde ahora para contactarme. Si no lo hacen, estoy obligado a dar a conocer todas las vulnerabilidades al público".

De acuerdo con el investigador de Secure Computing, las fallas cross-site scripting no son los únicos problemas que afectan al popular sitio para compartir videos.

La firma de seguridad en sistemas de información dijo que los intrusos están subiendo videos falsos en el sitio que infectan computadoras con el virus Zlob. Mientras que el personal de YouTube fue rápido al dar de baja los videos infectados, Paul Henry, vice presidente de tecnologías en Secure Computing dijo que este incidente anticipa un nuevo vector de ataque para los intrusos.

"El hecho es que nadie esperaba encontrar malware oculto en archivos de YouTube. Aún su mediana popularidad es altamente apreciada como un vehículo masivo de distribución para código malicioso", dijo Nery. El virus Zlob instala adware y spyware que bombardea a los usuarios con anuncios pornográficos.

"Lo que es alarmante, desde una perspectiva de seguridad, es que muchos usuarios y organizaciones serán saturadas y potencialmente expuestos severamente".

Henry está preocupado de que el virus sea el preludio a que los intrusos infecten computadoras con keyloggers o hacerlas parte de una botnet.